Cloud-Security

Ohne Sicherheit bleibt die Cloud ein Luftschloss

21.08.2012
Von 
Bernd Reder ist freier Journalist mit den Schwerpunkten Netzwerke, IT und Telekommunikation in München.

Cloud-Sicherheit im Überblick

Unternehmen, die Cloud-Dienste auf sichere Art betreiben oder nutzen möchten, sollten auf folgende Bereiche achten:

  • Die Datenintegrität und Datensicherheit sicherstellen, inklusive Regeln für den Datenzugriff.

  • Bei Public- und Hybrid-Cloud-Diensten: einen Service-Provider identifizieren, der über ein sicheres Data Center mit gut geschultem Personal und Sicherheitsfunktionen verfügt.

  • Vorsorge für den sicheren Transport der Daten zwischen dem eigenen Rechenzentrum und dem Cloud-Data-Center treffen.

  • Prüfen, welche Datensicherheitsregelungen und Compliance-Standards ein Provider berücksichtigt und über welche Zertifikate er verfügt, etwa ISO 27001 oder EuroCloud Star Audit SaaS.

Für Unternehmen in Westeuropa sind nach einer Studie der Beratungsgesellschaft Deloitte von 2011 Unwägbarkeiten in Bereichen wie Datensicherheit, Compliance und Rechtssicherheit Gründe dafür, Cloud-Diensten mit Skepsis zu begegnen. (Angaben in Prozent)
Für Unternehmen in Westeuropa sind nach einer Studie der Beratungsgesellschaft Deloitte von 2011 Unwägbarkeiten in Bereichen wie Datensicherheit, Compliance und Rechtssicherheit Gründe dafür, Cloud-Diensten mit Skepsis zu begegnen. (Angaben in Prozent)
Foto: Deloitte

Sicherheit in einer Cloud-Umgebung beginnt beim Anwender, der Cloud-Services nutzen möchte. Damit Datenschutzregeln greifen und Verstöße gegen Compliance-Vorgaben ausgeschlossen sind, muss der IT-Leiter wissen, welche Anwender Zugang zu welchen Informationen haben. Das betrifft auch privilegierte Nutzer wie Systemverwalter. Auf diesem Auge sind viele IT-Abteilungen blind. Mit Hilfe von Tools wie etwa der Shell Control Box (SCB) der ungarischen IT-Sicherheitsfirma Balabit lässt sich nachweisen, welche Änderungen ein Systemadministrator an Systemeinstellungen und Daten vorgenommen hat. Das gilt im Übrigen auch für die Mitarbeiter des Cloud-Service-Providers.

Rollenbasierte Administration

Deutsche Firmen stehen trotz aller Bedenken Cloud-Diensten durchaus aufgeschlossen gegenüber. Dies gilt laut der Beratungsgesellschaft PwC vor allem für Software-as-a-Service-Angebote. (Angaben in Prozent)
Deutsche Firmen stehen trotz aller Bedenken Cloud-Diensten durchaus aufgeschlossen gegenüber. Dies gilt laut der Beratungsgesellschaft PwC vor allem für Software-as-a-Service-Angebote. (Angaben in Prozent)
Foto: PwC

Auch wenn es aufwendig zu implementieren ist, sollte in einer Cloud-Umgebung ein rollengestütztes Authentifizierungsverfahren etabliert werden. Denn nicht jeder Nutzer respektive IT-Manager muss Zugang zu allen IT-Ressourcen haben. Hinzu kommt, dass es in vielen IT-Abteilungen leider Usus ist, dass Systemverwalter Passwörter untereinander austauschen, etwa um sich im Urlaub oder Krankheitsfall vertreten zu können. Auch dies sollte unterbunden werden, damit die Handlungen von IT-Mitarbeitern jederzeit transparent sind. Als Lösung bietet sich der Einsatz einer Multifaktor-Authentifizierung an, etwa auf Basis eines Einmal-Passworts in Verbindung mit einem Token oder Zertifikaten. Der Service-Provider wiederum muss klar- machen, wer außer ihm sonst noch Zugriff auf Kundendaten hat. Der US-Patriot-Act räumt beispielsweise amerikanischen Sicherheitsbehörden per se Zugang zu Daten aller Cloud-Service-Anbieter ein, die ihren Hauptsitz in den USA haben, ganz gleich, ob die Daten in einem Cloud-Data-Center in Europa oder den Vereinigten Staaten lagern. Dies ist für viele Cloud-Nutzer nicht akzeptabel.